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Menetelma ja jarjestely kayttajan luotettavaksi tunnistamiseksi 
tietokonejarjestelmassa 

Keksinnon ala 

Keksinnon kohteena on menetelma ja jarjestely kayttajan luotetta- 
vaksi tunnistamiseksi tietokonejarjestelmassa. Erityisesti keksinto kohdistuu 
ratkaisuun, jossa yhteys tietokonejarjestelmaan toteutetaan matkaviestimen, 
edullisesti matkapuhelinjarjestelman matkaviestimen avulla. 

Keksinnon tausta 

Useimmat tietokonejarjestelmat on suunniteltu siten, etta kayttajien 
taytyy kirjoittautua sisaan jarjestelmaan tyoasemaltaan omalla kayttajStunnuk- 
sellaan ja salasanallaan. Jarjestelman palvelin, tyypillisesti tunnistuspalvelin, 
tarkistaa onko kyseista kayttajatunnusta maaritelty jarjestelman kayttajien jou- 
kossa ja vastaako annettu salasana kyseista kayttajatunnusta. Mikali nain on, 
sallitaan kayttajan paasy jarjestelmaan, muutoin yhteytta ei sallita. Talia tavoin 
pyritaan varmistamaan jarjestelman turvallisuus eli estaa asiattomien kayttaji- 
en tunkeutuminen jarjestelmaan. Tyoasemien ollessa kiinteassS yhteydessa 
tietokonejarjestelmaan esimerkiksi sisaisen kaapeloinnin valitykselia tama me- 
netelma kayttajien tunnistamiseksi on useimmiten riittava. 

Nykyisin on kuitenkin usein tarve tietokonejarjestelman etayhteyk- 
siin. Tama tarkoittaa sita etta kayttajan tyoasemaila ei ole kiinteata yhteytta 
tietokonejarjestelmaan, vaan yhteys muodostetaan jonkin julkisen verkon, tyy- 
pillisesti puhelinverkon valitykselia. Tyoasema kytketaan esimerkiksi modee- 
min valitykselia puhelinverkkoon, jonka kautta muodostetaan puhelinyhteys 
jarjestelmaan jarjestelman modeemisarjan kautta. Tailaisessa tapauksessa 
kayttajan tunnistukselle asetetaan huomattavasti suurempia vaatimuksia, kos- 
ka yhteys muodostuu sellaisen julkisen verkon kautta, jonka turvallisuutta ei 
ole mahdollista valvoa jarjestelman yliapitajan toimesta. Kayttajatunnukseen ja 
salasanaan perustuva kayttajien tunnistus yleisen verkon yli tapahtuvassa yh- 
teydessa on arveluttavaa, koska taildin avautuu mahdollisuus ulkopuoliselle 
tunkeutua jarjestelmaan esimerkiksi arvaamalla kayttajatunnuksia ja salasa- 
noja. Kayttajatunnukset sinansa ovat usein kayttajien nimista muodostettuja ja 
mikali kSyttajat saavat Use valita salasanansa, ovat ne sangen usein helposti 
paateltavissa tai arvattavissa. 

Paatelaitteen ja tietokonejarjestelman valiset yhteydet on usein to- 
teutettu ns. PPP (Point to point) protokollaa kayttaen. PPP-yhteyksilla on usein 
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kaytetty ns. CHAP (Challenge-Handshake Authentication Protocol) tai PAP 
(Password Authentication Protocol) menetelmia. PAP-menetelmassa salasana 
siirretaan siirtotien ylitse kryptaamattomana, joten sen antama suoja on melko 
heikko. CHAP-menetelma salasana on kryptattu. Menetelmassa siirtotien 
5 kummassakin paassa kaytetaan samaa algoritmia. Verkko lahettaa satunnais- 
luvun paatteelle, paate laskee luvun, kayttajatunnuksen ja salasanan perus- 
teella algoritmia kayttaen salatun arvon. Salattu arvo, salasana ja kayttajatun- 
nus vaiitetaan verkolle, joka laskee salatusta arvosta salasanan, ja vertaa sita 
lahetettyyn salasanaan. 
10 Edelleen on tunnettua kayttaa ns. RADIUS (Remote Authentication 

Dial In User Service Protocol, RFC 2138) menetelmaa sisaankirjautumisen 
yhteydessa. 

On edelleen kehitetty erilaisia menetelmia tietokonejarjestelman 
kayttajan tunnistuksen luotettavuuden ja turvallisuuden lisaamiseksi. Koska 

15 kayttajan maarittelemat ovat usein helposti selvitettavissa, on tunnetun teknii- 
kan mukaisissa ratkaisuissa hyddynnetty kertakayttoisia salasanoja. Talloin 
kutakin salasanaa kaytetaan vain kerran sisaankirjoittautumisen yhteydessa ja 
vaikka salasanan saisi jokin kolmas osapuoli selville, ei siita olisi mitaan hyo- 
tya koska toisella kerralla kaytossa olisi jo jokin muu salasana. Tassa rnene- 

20 telmassa taytyy seka kayttajaiia etta tietokonejarjestelman tunnistuspalveli- 
mella olla toisiansa vastaavat salasanalistat kaytOssa. Kayttajaiia voi olla esi- 
merkiksi salasanalista paperilla tai vaihtoehtoisesti voidaan kayttaa erillista 
laitetta, ns. trusted device, jota kaytetaan generoimaan kertakayttoisia salasa- 
noja. 

25 Patenttijulkaisussa US 5485519 on esitetty menetelma, jossa kayt- 

tajaiia on erillinen salasanan tuottava laite. Kayttaja sydttaa laitteeseen jonkin 

I./ ennalta sovitun salasanan, ja laite muodostaa salasanasta ja laitteeseen oh- 

• * • 

jelmoidusta kryptatusta bittijonosta yhteydella kaytettavan salasanan. Tama 

• • • 

* salasana kryptataan, taflennetaan laitteeseen ja sits kaytetaan seuraavan sa- 

30 lasanan generointiin. Julkaisun ratkaisussa laitteen kehittama salasana on 

: # : : syotettava esim. magneettiraitalukijan tai levykeaseman valitykselia yhteyden 

:T: muodostavaan prosessorilaitteistoon, kuten esimerkiksi tietokoneeseen. 

y.. m Patenttijulkaisussa US 4720860 esitetaan kertakayttfiisia salasa- 

• * 

"\ noja kSyttava ratkaisu, jossa kayttajaiia on erillinen laite, esimerkiksi smart 

35 card- tyyppinen kortti, joka generoi kertakayttoisen salasanan, jonka kayttaja 

:V: lukee laitteen naytosta ja syottaa yhteysvaiineena toimivaan tietokoneeseen. 



3 



Laite generoi kertakSyttfiisen koodin kiinteSn koodin ja jonkin muuttuvan pa- 
rametrin kuten ajan perusteella. Kiintea koodi on ohjelmoitu laitteeseen. On 
myos mahdollista, etta kiintea koodi syotetaan laitteeseen. Tietokonejarjestel- 
man tunnistuspalvelin laskee samoja parametreja kayttaen toisen tunnuslu- 
5 vun, ja jos tunnusluvut tasmaavat, niin yhteys on sallittu ja mahdollinen. 

Patenttijulkaisuissa US 5657388, US 5373559 ja 5491752 esitetaan 
toinen kertakayttOisia salasanoja kayttava ratkaisu, jossa kayttajalla on erilli- 
nen yksinkertainen laite, ns. token, joka on esimerkiksi muistikortti, ja johon 
on tallennettu salainen koodi. Yhteysvaline, esimerkiksi kannettava tietokone, 

10 lukee kortin muistista salaisen koodin. KayttajS syottaa yhteysvaiineeite hen- 
kilttkohtaisen salasanansa t ja yhteysvaiine muodostaa salaisen koodin, sala- 
sanan ja ajan perusteella kertakayttOisen salasanan, jonka se lahettaa tieto- 
konejarjestelman tunnistuspalvelimelle. 

Kaikissa ylla kuvatuissa tunnetun tekniikan mukaisissa ratkaisuissa 

15 kayttajan on pidettava mukanaan useampia laitteita, eli seka erillista salasa- 
nan muodostuksessa kaytettavaa generointilaitetta, tyypillisesti smart card - 
tyyppista alykorttia, seka varsinaista yhteys laitetta, jolla yhteys haluttuun tieto- 
konejarjestelmaan muodostetaan. Edelleen kaikissa tunnetuissa ratkaisuissa 
kayttajan on aktiivisesti joko kirjoitettava aiykortista luettu kertakayttoinen sala- 

20 sana yhteysvalineeseen tai vaihtoehtoisesti syotettava koko kortti yhteysvaii- 
neeseen, jolloin kortin tiedot tulevat luetuiksi. 

Keksinnon lyhyt seiostus 

Keksinnon tavoitteena on siten toteuttaa menetelma ja menetelman 
toteuttava jarjestely siten, etta kayttaja voidaan luotettavasti tunnistaa aiheut- 

25 tamatta kuitenkaan haittaa tai vaivaa kayttajalle. Tama saavutetaan menetel- 
malla kayttajan luotettavaksi tunnistamiseksi tietokonejarjestelmassa, jossa 
menetelmassa kaytetaan yhteyslaitteena tietokonejarjestelmaan matkavies- 
tinta, syotetaan henkilokohtainen tunnusluku matkaviestimeen. 

Keksinnon mukaisessa menetelmassa generoidaan ensimmainen 

30 kertakayttoinen salasana matkaviestimessa ilman kayttajan toimenpiteita en- 
nalta tunnetun algoritmin avulla kayttajan henkildkohtaisen tunnusluvun, mat- 
kaviestimen tilaajakohtaiselta tunnistusmoduulilta luetun tilaajakohtaisen tun- 
nisteen, matkaviestimen laitekohtaisen tunnisteen ja kellonajan perusteella, 
suoritetaan ensimmaisen kertakayttoisen salasanan ja kayttajan tilaajakohtai- 

35 sen tunnisteen koodaus matkaviestimessa, lahetetaan koodatut salasana ja 
tilaajakohtainen tunniste tietokonejarjestelman tunnistuspalvelimelle, suorite- 



taan kayttajan tunnistus tunnistuspalvelimella tilaajakohtaisen tunnisteen pe- 
rusteella ja etsitaan tietokannasta kayttajan henkilfikohtainen tunnusluku ja 
kayttajaan liitetyn matkaviestimen laitekohtainen tunniste, muodostetaan toi- 
nen kertakayttoinen saiasana tunnistuspalvelimella kayttaen ennalta maarat- 
5 tya algoritmia kSyttajan henkilfikohtaisen tunnusluvun, tilaajakohtaisen tunnis- 
teeni matkaviestimen laitekohtaisen tunnisteen ja kellonajan perusteella, ver- 
rataan ensimmaista salasanaa ja toista salasanaa keskenaan tunnistuspalve- 
limella, ja mikaii salasanat vastaavat, mahdollistetaan tietoliikenneyhteys 
kayttajan matkaviestimen ja tietokonejarjestelman valilla. 

10 KeksinnOn kohteena on myos jarjestely kayttajan luotettavaksi tun- 

nistamiseksi tietokonejarjestelmassa, joka jarjestely kasittaa matkaviestimen, 
jota kaytetaan yhteyslaitteena tietokonejarjestelmaan, joka matkaviestin kasit- 
taa tilaajakohtaisen tunnistusmoduulin, joka sisaltaa tilaajakohtaisen tunnis- 
teen, viestimeen pysyvasti koodatun laitekohtaisen tunnisteen, valineet lukea 

15 kayttajan syottama henkilokohtainen tunnusluku, joka mahdollistaa laitteen 
kayton, valineet tarkistaa tunnusluvun oikeellisuus ennen laitteen kutakin 
kayttdonottoa, ja joka jarjestely kasittaa tunnistuspalvelimen, joka kasittaa 
muistivalineet tallentaa jarjestelmSn kayttajien kayttajatunnukset ja niita vas- 
taavat henkiliikohtaiset tunnisteet ja laitekohtaiset tunnisteet 

20 Keksinnon mukaisessa jarjestelyssa matkaviestin kasittaa valineet 

generoida ensimmainen kertakayttoinen saiasana ilman kayttajan toimenpi- 
teita ennalta tunnetun algoritmin avulla kayttajan henkilflkohtaisen tunnuslu- 
vun, matkaviestimen tilaajakohtaiselta tunnistusmoduulilta luetun tilaajakohtai- 
sen tunnisteen, matkaviestimen laitekohtaisen tunnisteen ja kellonajan perus- 

25 teella, valineet suorittaa ensirnmaisen kertakayttoisen salasanan ja kayttajan 
tilaajakohtaisen tunnisteen koodaus, valineet lahettaa koodatut saiasana ja ti- 
laajakohtainen tunniste tietokonejarjestelman tunnistuspalvelimelle, ja etta 
tunnistuspalvelin on sovitettu suorittamaan kayttajan tunnistus tilaajakohtaisen 
tunnisteen perusteella ja etsimaan tietokannasta kayttajan henkilokohtainen 

30 tunnusluku ja kayttajaan liitetyn matkaviestimen laitekohtainen tunniste, muo- 
dostamaan toinen kertakayttoinen saiasana tunnistuspalvelimella kayttaen en- 
nalta maarattya algoritmia kayttajan henkiiakohtaisen tunnusluvun, tilaajakoh- 
taisen tunnisteen, matkaviestimen laitekohtaisen tunnisteen ja kellonajan pe- 
rusteella, vertaamaan ensimmaista salasanaa ja toista salasanaa keskenaan 

35 tunnistuspalvelimella, ja mikaii salasanat vastaavat, mahdollistamaan tietolii- 
kenneyhteys kayttajan matkaviestimen ja tietokonejarjestelman valilla. 
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Keksinto perustuu siihen, etta matkaviestin itse on ns. trusted devi- 
ce, jolloin kayttajalta ei vaadita erillisia laitteita mukana pidettavaksi, kun halu- 
taan muodostaa turvallinen yhteys tietokonejarjesteimaan. Keksinnon mukai- 
sella ratkaisulla voidaan myos yhteydenmuodostus automatisoida turvallisuu- 
5 den siita karsimatta. 

Keksinnon mukaisessa ratkaisussa siis matkaviestin, jolla muodos- 
tetaan yhteys tietokonejarjesteimaan, generoi itse tarvittavan kertakayttoisen 
salasanan. Salasanan generoinnissa kaytetaan ennalta maarattya algoritmia, 
jonka parametreina ovat aika t kayttajan tilaajatunnus, matkaviestimen laite- 
10 tunnus ja kayttajan PIN-koodi. 

Keksinnon mukaisen menetelmaiia ja jarjestelmalla saavutetaan 
useita etuja. Aiempien ratkaisujen eras haittapuoli, eli kahden erillisen laitteen 
kaytto, voidaan vaittaa. Itse yhteydenmuodostusprosessi on myOs aiempaa 
nopeampi, koska kayttajan ei tarvitse tassa vaiheessa syottaa laitteeseen sa- 
15 lasanoja tai ulkopuolisia lisalaittetta. Keksinnon mukainen ratkaisu on myiis 
tietoturvallinen, silla kertakayttoisten salasanojen, kaytettyjen algoritmien tai 
ohjelmien sieppaus eivat auta mahdollista tunkeutujaa. Kopioidut ohjelmistot 
eivat toimi vieraassa laitteessa vaikka kayttajan salasana (PIN) olisi saatu sel- 
ville. 

20 Kuvioiden lyhyt selostus 

KeksintGa selostetaan nyt lahemmin edullisten suoritusmuotojen 
yhteydessa, viitaten oheisiin piirroksiin, joissa 

kuvio 1 esittaa esimerkkia jarjestelmasta, jossa keksinnon mukaista 
ratkaisua voidaan soveltaa, 
25 kuviot 2a ja 2b havainnollistavat keksinnon mukaista menetelmaa 

vuokaavioiden avulla, ja 

kuvio 3 havainnollistaa esimerkkia keksinnon mukaisen matkavies- 
timen rakenteesta. 

Keksinnon yksityiskohtainen selostus 

30 Viitaten kuvioon 1 tarkastellaan esimerkkia eraasta jarjestelmasta, 

jossa keksinnon mukaista ratkaisua voidaan soveltaa. Keksinnon mukaisessa 
ratkaisussa kayttajaila on matkaviestin 100, jota han kayttaa yhteysvalineena 
haluamaansa tietokonejarjesteimaan 102. Kuviossa 1 on esitetty vain eras 
esimerkki keksinnon mukaisesta radiojarjestelmasta. Sinansa radiojarjestel- 

35 maan rakenne ja yhteys tietokonejarjesteimaan voi olla yksityiskohdiltaan to- 
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teutettu muutoinkin, kunhan keksinn6n mukaiset piirteet ovat mukana. Keksin- 
non mukainen ratkaisu ei siis rajoitu pelkastaan GPRS-jarjestelrnaan, vaikka 
sellaista onkin kaytetty esimerkkina kuviossa 1. 

Radioverkko kasittaa siis tyypillisesti kiinteSn verkon infrastruktuurin 
5 eli verkko-osan 104, ja tilaajapaatelaitteita 100, jotka voivat olla kiinteasti si- 
joitettuja, ajoneuvoon sijoitettuja tai kannettavia mukanapidettavia paatelait- 
teita. Verkko-osassa 104 on tukiasemia 106. Useita tukiasemia 106 keskitetys- 
ti puolestaan ohjaa niihin yhteydessa oleva radioverkkokontrolleri 108. Tuki- 
asemassa 106 on lahetinvastaanottimia 110ja multiplekseriyksikko 112. 

10 Tukiasemassa 106 on edelleen ohjausyksikke 114, joka ohjaa lahetin- 

vastaanottimien 110 ja multiplekserin 112 toimintaa. Multiplekserilla 112 sijoi- 
tetaan useiden lahetinvastaanottimen 110 kayttamat liikenne- ja ohjauskana- 
vat yhdelle siirtoyhteydelle 116. 

Tukiaseman 106 lahetinvastaanottimista 110 on yhteys antenniyksik- 

15 k66n 118, jolla toteutetaan kaksisuuntainen radioyhteys 120 tilaajapaatelait- 
teeseen 100. Kaksisuuntaisessa radioyhteydessa 120 siirrettavien kehysten 
rakenne on jarjestelmakohtaisesti maaritelty, ja sita kutsutaan ilmarajapinnak- 
si. 

Radioverkkokontrolleri 108 kasittaa ryhmakytkentakentan 122 ja oh- 

20 jausyksikon 124. Ryhmakytkentakenttaa 124 kaytetaan puheen ja datan kyt- 
kentaan seka yhdistamaan signalointipiireja. Tukiaseman 106 ja radioverkko- 
kontrollerin 108 muodostamaan radioverkkoalijarjestelmaan 126 kuuluu lisaksi 
transkooderi 128. Transkooderi 128 sijaitsee yleensa mahdollisimman lahelia 
matkapuhelinkeskusta 130, koska puhe voidaan tailSin siirtokapasiteettia 

25 saastaen siirtaa solukkoradioverkon muodossa transkooderin 128 ja radioverk- 
kokontrollerin 108 valilla. 

Transkooderi 128 muuntaa yleisen puhelinverkon ja radiopuhelin- 
verkon valilla kaytettavat erilaiset puheen digitaaliset koodausmuodot toisilleen 
sopiviksi, esimerkiksi kiintean verkon muodosta solukkoradioverkon johonkin 

30 muuhun muotoon ja painvastoin. Ohjausyksikko 124 suorittaa puhelunohjaus- 
ta, liikkuvuuden hallintaa, tilastotietojen keraysta ja signalointia. 

Kuviossa 1 kuvataan edelleen matkapuhelinkeskus 130 ja portti- 
matkapuhelinkeskus 132, joka hoitaa matkapuhelinjarjestelman yhteydet ulko- 
puoliseen maailmaan, tassa yleiseen puhelinverkkoon 134. Matkapuhelinjar- 

35 jestelma kasittaa myos erilaisia tietokantoja, joissa yliapidetaan erilaisia tietoja 
jarjestelman toimivuuden yllapitamiseksi. Tallainen rekisteri on HLR 150 
(Home Location Register), joka sisaltaa jarjestelman tilaajiin liittyvaa informaa- 
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tiota. HLR pitaa esimerkiksi tietoa siita, missa tilaaja kulloinkin sijaitsee. Edel- 
leen jarjestelmassa on loogisesti MSC-kohtainen VLR 152 (Visitors Location 
Register), joka yliapitaa tietoa siita, kuka kayttaja on kulloinkin annetun MSC:n 
alueella ja tietoa kayttajan sijainnista tarkemmin kuin HLR. Edelleen jarjestel- 
5 massa on EIR 154 (Equipment Identity Register), joka yliapitaa tieto jarjestei- 
man paatelaitteista. Kullakin paatelaitteella on tyypillisesti lartekohtainen val- 
mistusvaiheessa liitetty laitetunnus, esim. IMEI-tunnus (International Mobile 
Equipment Identifier ) ( jonka perusteella kukin paatelaite voidaan yksilollisesti 
tunnistaa. EIR yliapitaa tietoa laitetunnuksista. 

10 Kuten kuviosta 1 nahdaan niin ryhmakytkentakentaila 122 voidaan 

suorittaa kytkentoja seka yleiseen puhelinverkkoon (PSTN = Public Switched 
Telephone Network) 134 matkapuhelinkeskuksen 130 valitykselia etta paketti- 
siirtoverkkoon 136. 

Pakettisiirtoverkon 136 ja ryhmakytkentakentan 122 vaiisen yhteyden 

15 luo tukisolmu 138 (SGSN = Serving GPRS Support Node). Tukisolmun 138 
tehtavana on siirtaa paketteja tukiasemajarjestelman ja porttisolmun (GGSN = 
Gateway GPRS Support Node) 140 valilla, ja pitaa kirjaa tilaajapaatelaitteen 
100 sijainnista alueellaan. Tukisolmu 138 voi olla yhteydessa myos matkapu- 
helinjarjestelman tietokantoihin 150 - 154 joko MSC:n 130 kautta tai suoraan. 

20 Porttisolmu 140 yhdistaa julkisen pakettisiirtoverkon 142 ja paketti- 

siirtoverkon 132. Rajapinnassa voidaan kSyttaa internet-protokollaa tai X.25- 
protokoliaa. Porttisolmu 140 katkee kapseloimalla pakettisiirtoverkon 136 si- 
saisen rakenteen julkiselta pakettisiirtoverkolta 142, joten pakettisiirtoverkko 
136 nayttaS julkisen pakettisiirtoverkon 142 kannalta aliverkolta, jossa olevalle 

25 tilaajapaatelaitteelle 100 julkinen pakettisiirtoverkko voi osoittaa paketteja ja 
jolta voi vastaanottaa paketteja. 

Pakettisiirtoverkko 136 on tyypillisesti radioverkko-operaattorin in- 
ternet-protokollaa kayttava verkko, joka kuljettaa signalointia ja tunneloitua 
kayttajan dataa. Verkon 136 rakenne voi vaihdella operaattorikohtaisesti seka 

30 arkkitehtuuriltaan etta protokolliltaan internet-protokollakerroksen alapuolella. 

Julkinen pakettisiirtoverkko 142 voi olla esimerkiksi maailmanlaajui- 
nen Internet, johon tietokonejarjestelma 102 on yhdistetty. 

Tietokonejarjestelma 102 kasittaa tyypillisesti jonkin tunnistuspalve- 
limen 144, jonka tehtavana on autentisoida jarjestelmaan pyrkivat kayttajat ja 

35 sallia luvallisten kayttajien paasyn muuhun jarjestelmaan 146. Tunnistuspalve- 
lin 144 ei vaittamatta ole erillinen laitteisto, vaan se voidaan toteuttaa mytts 
ohjelmallisesti jonkin tietokoneen osana. Tunnistuspalvelin kasittaa myos 
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muistin 148, jojon on tallennettu jarjestelman kayttajien kayttajatunnukset ja 
niita vastaavat henkilokohtaiset tunnisteet ja laitekchtaiset tunnisteet. Muisti 
voidaan toteuttaa kiinteana osana normaalia palvelinlaitteistoa tai erillisena 
tietokantalaitteistona. Muu jarjestelma 146 kasittaa tyypillisesti yhden tai use- 
5 ampia tietokonelaitteistoja, jotka tarjoavat sahkoposti- tai tietokantapalveluja ja 
vastaavia yrityksen sisaista verkkoratkaisuja. 

Tukisolmusta 138 voidaan muodostaa toisen porttisolmun 140b 
kautta yhteys toiseen dataverkkoon 156, edullisesti paikallisverkkoon kuten 
esimerkiksi yrityksen sisainen intranet. KeksinnOn mukaisessa ratkaisussa 
10 voidaan siis yhteys haluttuun tunnistautumista vaativaan verkkoon muodostaa 
useilla tavoilla. 

Esilia oleva keksinto liittyy siis erityisesti kayttajan luotettavaan tun- 
nistamiseen otettaessa yhteytta tietokonejarjestelmaan. Vaikka tunnistuksen 
on oltava luotettava, on myfls toivottavaa, etta tunnistusproseduuri voidaan 

15 toteuttaa kayttajan kannalta vaivattomasti. 

Tarkastellaan esimerkkia keksinnon mukaisesta ratkaisusta vuo- 
kaavioiden 2a ja 2b avulla. Vaiheessa 200 kayttaja kaynnistaa matkaviesti- 
men. Tyypillisesti matkaviestin on sovitettu tassa vaiheessa kysymaan kaytta- 
jalta matkaviestimen kayt6n mahdollistavan salasanan eli PIN:n (Personal 

20 Identification Number). Vaiheessa 202 kayttaja sy6ttaa salasanan matkavies- 
timeen. Matkaviestinta voi tailfiin kayttaa myos tavanomaisena puhelimena, 
mutta kun kayttaja vaiheessa 204 kaynnistaa jonkin ennalta maarattya tieto- 
konejarjestelmaa tarvitsevan sovelluksen, kuten esimerkiksi sahkfipostiohjel- 
man, keksinnon mukaisessa ratkaisussa matkaviestin talloin generoi kerta- 

25 kayttOisen salasanan vaiheessa 206. Tata vaihetta selostetaan tarkemmin 
tuonnempana. 

Mikaii matkaviestinta ei ole tarkoitus kayttaa salausta vaativaan 
viestintaan. kayttaja voi viestimen kaynnistyksen yhteydessa syottaa viesti- 
meen jonkin muun ennalta maaratyn salasanan eli PIN:n. Kayttajaila on siis 

30 keksinnon edullisessa toteutusmuodossa hallussaan ainakin kaksi eri salasa- 
naa, joista osa mahdollistaa salausta vaativien sovellusten kayten ja osa ei. 
Taten matkaviestinta voidaan turvallisesti kayttaa ja haluttaessa myos lainata 
toiselle osapuolelle, joka ei pysty salausta vaativia sovelluksia kayttamaan. 

Seuraavaksi matkaviestin tyypillisesti koodaa generoidun salasanan 

35 ja kayttajan kayttajatunnuksen sopivalla tavalla ja lahettaa viestin tietokone- 
jarjestelmalle vaiheessa 208. Tietokonejarjestelma vastaanottaa viestin, ja 



vaiheessa 210 generoi itse vastaavan kertakayttciisen salasanan, vertaa sala- 
sanoja, ja mikali salasanat tasmaavat myontaa oikeuden jarjestelman tietoihin, 
ja yhteys voi jatkua vaiheessa 212. Mikali salasanat eivat tasmaa, jarjestefma 
ei keksinnon edullisessa toteutusmuodossa laheta mitaan vastinetta matka- 
5 viestimelle. Tama lisaa turvallisuutta, koska mahdollinen tunkeutuja ei saa sel- 
ville yhteyden epaonnistumisen syyta. 

Salasana ja kayttajatunnuksen lahetys tietokonejarjestelmaile voi- 
daan suorittaa sopivalla tavalla kryptattuna, joko kayttaen radiojarjestelmalle 
ominaista kryptausta tai turvallisuutta lisaavaiia omalla kryptauksella, jonka 
10 vastaanottopaa osaa purkaa. Nama vaiheet voidaan toteuttaa alan ammatti- 
miehelle tunnetuilla tavoilla. 

Salasanan generointia havainnollistetaan tarkemmin kaaviossa 2b. 
Vaiheessa 220 matkaviestin tahdistaa sisaisen kellonsa samaan tahtiin jar- 
jestelman kellon kanssa. Tama tahdistus voi tapahtua tunnettuja tahdistusme- 
15 netelmia kayttaen. Tahdistumisen tarkoituksen on varmentaa, etta matkavies- 
timessa ja jarjestelmassa kaytetaan samaa aikaparametria salasanoja gene- 
roitaessa. Vaiheessa 222 luetaan kayttajan ns. A-tilaajatunnus (A_SCRBR) 
matkaviestimen tilaajakohtaiselta tunnistusmoduulilta, kuten SIM/USIM-kortilta 
([Universal] Subscriber Identity Module) tai vastaavalta. 
20 Vaiheessa 224 luetaan matkaviestimen laitetunnus. Keksinnon mu- 

kaisessa ratkaisussa kullakin matkaviestimelia on laitekohtainen matkaviesti- 
meen valmistusvaiheessa liitetty laitetunnus, esim. IMEI-tunnus (International 
Mobile Equipment Identifier ), jonka perusteella kukin matkaviestin voidaan yk- 
silOllisesti tunnistaa. Esimerkiksi GSM-jarjestelmassa IMEI-tunnus kasittaa 
25 seuraavat kentat: 

TAG type approval code, 
FAC final assembly code, 
SNR serial number, 
SVN software version number. 
30 Vaiheessa 226 luetaan kayttajan syottama henkilokohtainen tun- 

nusluku, PIN, muistista. 

Kayttaen yilamainittuja arvoja (kayttajan henkilokohtainen tunnuslu- 
ku (PIN), ttlaajakohtainen tunniste (A_SCRBR), matkaviestimen laitekohtainen 
tunnisteen (IMEI) ja kellonaika), matkaviestin laskee ennalta maarattyS algo- 
35 ritmia kayttaen kertakayttoisen salasanan. Ennalta maaratty algoritmi voi olla 
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kiinteasti ohjelmoitu matkaviestimeen, tai vaihtoehtoisesti se voi olla muutetta- 
vissa, esimerkiksi ladattavissa tietokonejarjestelmasta. 

Edella mainittujen an/ojen lisaksi on myos mahdoliista kayttaa 
eraana algoritmiparametrina matkaviestimen muistiin tallennettuja lukuja. Tie- 
5 tokonejarjestelmasta voidaan esimerkiksi ladata taulukkomuodossa joukko al- 
kulukuja. Sama taulukko on myiis tunnistuspalvelimen tiedossa. 

Vaihtamalla matkaviestimen PIN voidaan viestin antaa my6s ulko- 
puolisen kayttoon, koska tall6in ei yhteytta tietokonejarjestelmaan ole mahdol- 
iista muodostaa. Talloin paate voi joko estaa tunnistusproseduurin kaynnisty- 

10 misen kokonaan tai sallia tunnistusproseduurin; talloinhan yhteyden luonti aina 
epaonnistuu, koska PIN on vaara. Samoin SIM-korttia vaihtamalla voidaan 
yhteyden muodostus estaa. 

KeksinnSn mukaiset erityispiirteet voidaan edullisesti toteuttaa seka 
matkaviestimessa etta tietokonejarjestelmassa ohjelmallisesti. Tarkastellaan 

15 seuraavaksi esimerkkia matkaviestimen rakenteesta kuvion 3 avulla. 

Kuviossa 3 kuvataan esimerkkia yhden matkaviestimen 100 raken- 
teesta. Matkaviestin kasittaa antennin 300, jota kaytetaan signaalien lahetyk- 
seen ja vastaanottoon. Tarkastellaan ensin vastaanotinpuolta. Antennilla 300 
vastaanotettu signaali viedaan duplexsuodattimen 302 kautta radiotaajuus- 

20 vastaanottimelle 304. Duplexsuodatin erottaa lahetys- ja vastaanotintaajuudet 
toisistaan. Radiotaajuusvastaanotin 304 kasittaa suodattimen, joka estaa ha- 
lutun taajuuskaistan ulkopuoliset taajuudet. Sen jalkeen signaali muunnetaan 
valitaajuudelle tai suoraan kantataajuudelle, jossa muodossa oleva signaali 
naytteistetaan ja kvantisoidaan analogia/digitaalimuuntimessa 306. Ekvalisaat- 

25 tori 308 kompensoi hairioita. esimerkiksi monitie-etenemisen aiheuttamia hai- 
riOita, Demodulaattori 310 ottaa ekvalisoidusta signaalista bittivirran, joka vali- 
tetaan demultiplekserille 312. Demultiplekseri 312 erottelee bittivirran eri aika- 
vaieista omiin loogisiin kanaviinsa. Kanavakoodekki 314 dekoodaa eri loogis- 
ten kanavien bittivirran, eli paattaa onko bittivirta signalointitietoa, joka valite- 

30 taan ohjausyksikolle 316, vai onko bittivirta puhetta, joka valitetaan puhekoo- 
dekille 318, tai dataa, joka valitetaan esimerkiksi datayksikdlle 320. Datayksik- 
ko voi olla esimerkiksi viestimen naytto tai jokin dataa prosessoiva yksikko, li- 
saiaite tai vastaava. Puhekoodekilta 318 puhesignaali valitetaan edelleen kai- 
uttimelle 322. Kanavakoodekki 314 suorittaa myiis virheenkorjausta. Oh- 

35 jausyksikko 316 suorittaa sisaisia kontroliitehtavia ohjaamalla eri yksikkoja. 

Lahetyspuolella kanavakoodekille 314 tulee lahetettava signaali joko 
datayksikolta 320 tai puhekoodekilta 318. Puhekoodekille signaali tulee mik- 
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rofonilta 324. Datayksikko voi olla esimerkiksi nappaimisto tai kosketusherkka 
naytto tai jokin viestimen lisalaite. Purskemuodostin 326 lisaa opetussekvens- 
sin ja hannan kanavakoodekista 314 tulevaan dataan. Multiplekseri 328 
osoittaa kullekin purskeelle sen aikavaiin. Modulaattori 330 moduloi digitaaliset 
5 signaalit radiotaajuiselle kantoaaltolle. TamS toiminto on analoginen luonteel- 
taan, joten sen suorittamisessa tarvitaan digitaali/analogia-muunninta 332. L3- 
hetin 334 kasittaa suodattimen, jolla kaistanleveytta rajoitetaan. Lisaksi lahetin 
334 kontrolloi lahetyksen ulostulotehoa. Syntetisaattori 336 jarjestaa tarvittavat 
taajuudet eri yksikoille. Syntetisaattori 336 luo tarvitut taajuudet esimerkiksi 

10 janniteohjatulla oskillaattorilla. 

Kuviossa 3 esitettavalla tavalla voidaan lahetinvastaanottimen raken- 
ne jakaa vielS radiotaajuusosiin 338 ja digitaaliseen signaalinkasittelyproses- 
soriin ohjelmistoineen 340. Radiotaajuusosiin 338 kuuluvat duplexsuodatin 
302, vastaanotin 304, lahetin 334 ja syntetisaattori 336. Digitaaliseen signaa- 

15 linkasittelyprosessoriin ohjelmistoineen 340 kuuluvat ekvalisaattori 308, demo- 
dulaattori 310, demultiplekseri 312, kanavakoodekki 314, ohjausyksikko 316, 
purskemuodostin 326, multiplekseri 328 ja modulaattori 330. Analogisen ra- 
diosignaalin muuntamiseksi digitaaliseksi signaaliksi tarvitaan analogia/digitaa- 
limuunnin 306, ja vastaavasti digitaalisen signaalin muuntamiseksi analogisek- 

20 si signaaliksi digitaali/analogia-muunnin 332. 

Matkaviestin kasittaa edelleen tilaajakohtaisen tunnistusmoduulin 
lukulaitteen 342, tyypillisesti SIM/USIM-kortin lukulaitteen tai vastaavan. Kun 
matkaviestin kaynnistetaan, viestimen ohjausyksikko 316 tarkistaa onko luku- 
laitteessa korttia, ja lukee kortilta kayttajan tunnistustiedot Matkaviestimeen 

25 on edelleen tallennettu viestimen valmistusvaiheessa muistielementtiin 344 
viestimen laitekohtainen tunniste (IMEI), joka on ohjausyksikSn 316 luettavis- 
sa. Laitekohtaista tunnistetta sailytetaan kiinteasti muistipiirissa eika se ole 
helposti muuteltavissa. 

Keksinn6n mukainen laite voi kasittaa luonnollisesti erilaisia kayttoliit- 

30 tymaosia, kuten nayton ja nappaimistfin, mutta niita ei tassa ole tarkemmin 
kuvattu. 

Keksinn6n mukaiset toiminnot voidaan toteuttaa matkaviestimessa 
siis edullisesti ohjelmallisesti. Tarvittavat toimintokaskyt kasittava ohjelmisto 
voidaan sijoittaa ohjausyksikon 316 yhteyteen. Ohjelmisto voi rakenteeltaan 
35 luonnollisesti olla modulaarinen f eli koostua useasta erillisesta ohjelmasta, 
joita voidaan erikseen paivittaa esimerkiksi tietokonejarjestelmasta tai radio- 
verkon operaattoriita kasin. 



12 



Keksinnon mukaista ratkaisua voidaan soveltaa my<3s sellaisessa 
matkaviestimessS, jotka on varustettu useammalla kuin yhdelia SIM/USIM- 
kortilla. Tallaisia ovat esimerkiksi puhelimet, joissa voidaan kayttaa ns. ennak- 
koon maksettuja SIM/USIM-kortteja (pre-paid SIM/USIM). Tailatsessa viesti- 
5 messS on mahdoltista ratkaisu, etta vain yhta korttia kaytetaan yhteyden muo- 
dostaimiseen. Keksinnfin eraassa toteutusmuodossa osa salaukseen tarvitta- 
vista tiedoista saadaan siita kortista, jota ei yhteyden muodostuksessa kayteta. 

Tarkastellaan seuraavaksi erasta toista keksinnon edullista toteu- 
tusmuotoa. Esimerkiksi GSM ja GPRS-jarjestelmissa yhteydenmuodostusta 
10 suoritettaessa seka paatelaitteella etta verkolla on tiedossa ns SRES kentta 
(Signed RESuit). Kentasta on myos kaytetty lyhennetta XRES. Kentta on tyy- 
pillisesti 32 - 128 bitin mittainen kentta. Yhteydenmuodostuksen yhteydessa 
SRES maaritetaan yhteyden kummankin osapuolen toimesta tietyilla yhteisilia 
parametreja kayttaen samaa algoritmia. Tunnetun tekniikan mukaisessa rat- 
15 kaisussa SRES siirretaan paateiaitteesta verkkoon, jossa laskettua lukua ver- 
rataan verkossa iaskettuun lukuun. SRES-kentasta liiytyy lisatietoja esimerkik- 
si kirjasta M. Mouly t M_P. Pautet: The GSM System for Mobile Communica- 
tions. ISBN 2-9507190-0-7, luku 7.2.2. 1 M joka otetaan tahan viitteeksi. 

Keksinnon tassa toteutusmuodossa paatelaite lahettaa pelkan 
20 SRES:n sijasta tiedon, joka voi kasittaa kentat 
SRES Signed result 
TIME aikatieto 

IMS! paatteen kansainvaiinen numero 

IMEI paatteen laitenumero. 
25 Taman toteutusmuodon etuna verrattuna tunnettuun tekniikkaan on luonnolli- 
sesti parantunut suojaus, silla se on seka aika- etta laitekohtainen. Paatteen 
kansainvaiinen numero IMSI koostuu GSM-pohjaisissa jarjestelmissa paatteen 
maakoodista, operaattorin koodista seka varsinaisesta paatteen puhelinnume- 
rosta. 

30 Tarkastellaan seuraavaksi edelleen erasta toista keksinnon edul- 

lista toteutusmuotoa. Kaytettaessa RADIUS protokollaa PPP/CHAP-menetel- 
man yhteydessa tunnistuspalvelin vastaanottaa paatelaitteelta kentat "chap 
challenge", "user name", "chap response". Tunnistuspalvelin vertaa itse gene- 
roimaansa "chap responsea" paatelaitteelta vastaanottamaansa. Keksinnon 

35 taman toteutusmuodon mukaisessa ratkaisussa kentilla on arvot: 
"chap challenge" SRES 
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"user name" kayttajatunnus jarjestelmaan 
"chap response" sana joka on muodostettu arvoista (IMSI, 
IMEI, PIN, aika, SRES). 

Koska kentissa on mukana kayttajatunnus jarjestelmaan selvakieli- 
5 sena, niin tunnistuspalvelin pystyy siis nopeasti valitsemaan omasta tietokan- 
nastaan muut tiedot ja generoimaan ajasta riippuvaisen paikallisen "chap re- 
sponsen", jonka on siis vastattava paatelaitteelta vastaanotetun kanssa. 

Edelleen keksinnon eraassa toisessa edullisessa toteutusmuo- 
dossa kaytetaan muunnettua PPP/PAP- menetelmaa RADIUS protokollan 
10 yhteydessa. PPP/PAP -menetelmassahan alun perin lahetettiin kayttajatunnus 
ja salasana kryptaamattomana siirtotien yli, jolloin suojaus on heikko. Keksin- 
non mukaisessa ratkaisussa kayttajatunnukselle varatussa kentassa lahete- 
taankin keksinnon mukaisesti muodostettu salattu tunnus, joka perustuu ar- 
voille (IMSI, IMEI, PIN, aika, SRES). Salasanalle varatussa kentassa lahete- 
15 taan SRES. Edelleen kayttajatunnus jarjestelmaan lahetetaan "Calling station 
id"-kentassa. Tama sen takia, etta tunnistuspalvelin voi tunnistaa soittajan 
kaymatta kaikkia mahdollisia kayttajia lavitse. RADIUS-menetelmaa kaytetta- 
essa salasanalle varattu kentta (jossa nyt lahetetaankin SRES) voidaan suo- 
jata GGSN:n ja yrftysverkon yhteisella avaimella. KeksinnOn taman toteutus- 
20 muodon mukaisessa ratkaisussa kentilla on siis arvot: 

"user name" sana joka on muodostettu arvoista (IMSI T 

IMEI, PIN, aika, SRES), 

"user password" SRES, 

"Calling station id" kayttajatunnus jarjestelmaan. 

25 Keksinnon eraassa edullisessa toteutusmuodossa edelia kuvatuis- 

sa vaihtoehdoissa kayttajatunnus jarjestelmaan on sama kuin kSyttajan ISDN- 
muodossa oleva puhelinnumero, eli ns. MSISDN. Tasta loytyy lisatietoja esi- 
merkiksi kirjasta M. Mouly, M_P. Pautet: The GSM System for Mobile Com- 
munications, ISBN 2-9507190-0-7, luku 8.1. 1., joka otetaan tahan viitteeksi. 

30 Vaikka keksintOa on edelia selostettu viitaten oheisten piirustusten 

mukaiseen esimerkkiin, on selvaa, ettei keksintd ole rajoittunut siihen, vaan 
sita voidaan muunnella monin tavoin oheisten patenttivaatimusten esittaman 
keksinnollisen ajatuksen puitteissa. 
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Patenttivaatimukset 

1. Menetelma kayttajan luotettavaksi tunnistamiseksi tietokonejar- 
jestelmassa (102) ( jossa menetelmassa kaytetaan yhteyslaitteena tietokone- 
janestelmaan matkaviestinta (100), syOtetaan henkilokohtainen tunnusluku 

5 matkaviestimeen, 

tun nettu siita, etta 

generoidaan ensimmainen kertakayttOinen salasana matkaviesti- 
messS ilman kayttajan toimenpiteita ennalta tunnetun algoritmin avulla kaytta- 
jan henkilokohtaisen tunnusluvun, matkaviestimen tilaajakohtaiselta tunnis- 

10 tusmoduulilta (342) iuetun tilaajakohtaisen tunnisteen, matkaviestimen laite- 
kohtaisen tunnisteen (IMEI) ja kellonajan perusteella, suoritetaan ensirnmai- 
sen kertakayttdisen salasanan ja kayttajan tilaajakohtaisen tunnisteen koo- 
daus matkaviestimessa, lahetetaan koodatut salasana ja tilaajakohtainen tun- 
niste tietokonejarjestelman (102) tunnistuspalvelimelle (144) f suoritetaan 

15 kayttajan tunnistus tunnistuspalvelimelia tilaajakohtaisen tunnisteen perus- 
teella ja etsitaan tietokannasta kayttajan henkilokohtainen tunnusluku ja kayt- 
tajaan liitetyn matkaviestimen laitekohtainen tunniste, muodostetaan toinen 
kertakayttdinen salasana tunnistuspalvelimelia kayttaen ennalta maarattya al- 
goritmia kayttajan henkilokohtaisen tunnusluvun, tilaajakohtaisen tunnisteen, 

20 matkaviestimen laitekohtaisen tunnisteen ja kellonajan perusteella, verrataan 
ensimmaista salasanaa ja toista salasanaa keskenaan tunnistuspalvelimelia, 
ja mikali salasanat vastaavat, mahdollistetaan tietoliikenneyhteys kayttajan 
matkaviestimen (100) ja tietokonejarjestelman (102) vaiiiia. 

2. Patenttivaatimuksen 1 mukainen menetelma, tun nettu siita, 
25 etta matkaviestin (100) tahdistaa matkaviestimen ajastuksen tunnistuspalveli- 

men (144) ajastuksen kanssa ennen tunnistusproseduurin kaynnistysta. 

3. Patenttivaatimuksen 1 mukainen menetelma, t u n n et t u siita, 
etta kayttajan tunnistus suoritetaan automaattisesti kayttajan kaynnistaessa 
tietokonejarjestelmaa (102) hyOdyntavan sovelluksen matkaviestimessa (100). 

30 4. Patenttivaatimuksen 1 mukainen menetelma, tun nettu siita, 

etta mikali ensimmainen ja toinen salasana eivat vastaa, tunnistuspalvelin 
(144) ei laheta mitaan informaatiota matkaviestimelle (100). 

5. Patenttivaatimuksen 1 mukainen menetelma, tun nettu siita, 
etta tunnistuksen aikana paatelaite lahettaa tunnistuspalvelimelle viestin, joka 

35 kasittaa ainakin kentan, jonka sisaltona on SRES-arvo, seka kentan, jonka si- 
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saltona on aika, seka kentan, jonka sisaltona on paatteen kansainvalinen pu- 
helinnumero, seka kentan, jonka sisaltona on paatteen laitenumero. 

6. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta tunnistuksen aikana kaytetaan PPP/CHAP-protokollaa RADIUS-proto- 

5 kollan kanssa, ja etta paatelatte lahettaa tunnistuspalvelimelle viestin, joka ka- 
sittaa ainakin kentan, jonka sisaltona on SRES-arvo, seka kentan, jonka si- 
saltona on kayttajatunnus jarjestelmaan seka kentan, jonka sisaltona on sala- 
sana, joka on generoitu laitetunnuksesta (IMEI), kayttajan tilaajakohtaisesta 
tunnisteesta, kayttajan henkilokohtaisesta tunnusluvusta (PIN), ajasta ja 
10 SRES-arvosta. 

7. Patenttivaatimuksen 1 mukainen menetelma, tunnettu siita, 
etta tunnistuksen aikana kaytetaan PPP/PAP-protokollaa RADIUS-protokollan 
kanssa, ja etta paatelaite lahettaa tunnistuspalvelimelle viestin, joka kasittaa 
ainakin kentan, jonka sisaltona on salasana, joka on generoitu laitetunnuk- 

15 sesta (IMEI), kayttajan tilaajakohtaisesta tunnisteesta, kayttajan henkilokohtai- 
sesta tunnusluvusta, ajasta, ja SRES-arvosta, seka kentan, jonka sisaltona on 
SRES-arvo, seka kentan, jonka sisaltona on kayttajatunnus jarjestelmaan. 

8. Jonkin edellisen patenttivaatimuksen 1-7 mukainen menetelma, 
tunnettu siita, etta salaukseen tarvittavia tietoja on tallennettu paatelait- 

20 teessa useampaan kuin yhteen tilaajakohtaiseen tunnistusmoduuliin. 

9. Patenttivaatimuksen 6 tai 7 mukainen menetelma, tunnettu 
siita, etta kayttajatunnus jarjestelmaan on kayttajan MSISDN. 

10. Jarjestely kayttajan luotettavaksi tunnistamiseksi. tietokonejar- 
jestelmassa (102), joka jarjestely kasittaa 

25 matkaviestimen (100), jota kaytetaan yhteyslaitteena tietokonejar- 

jestelmaan, joka matkaviestin kasittaa 

tilaajakohtaisen tunnistusmoduulin (342), joka sisaitaa tilaajakohtai- 
sen tunnisteen, 

viestimeen (100) pysyvasti koodatun laitekohtaisen tunnisteen 

30 (IMEI), 

valineet (316) lukea kayttajan syiittama henkildkohtainen tunnusiu- 
ku. joka mahdollistaa laitteen k3yt6n, 

valineet (316) tarkistaa tunnusluvun oikeellisuus ennen laitteen ku- 
takin kSyttoonottoa, 

35 ja joka jarjestely kSsittaa tunnistuspalvelimen (144), joka kasittaa 
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muistivalineet tallentaa jarjestelman kayttajien kayttajatunnukset ja 
niita vastaavat henkildkohtaiset tunnisteet ja laitekohtaiset tunnisteet, 

tunnettu siita, etta 

matkaviestin (100) kasittaa 
5 vaiineet (136) generoida ensimmainen kertakayttoinen salasana il- 

man kayttajan toirnenpiteita ennalta tunnetun algoritmin avulla kayttajan hen- 
kildkohtaisen tunnusluvun, matkaviestimen tilaajakohtaiselta tunnistusmoduu- 
lilta (342) luetun tilaajakohtaisen tunnisteen, matkaviestimen lattekohtaisen 
tunnisteen (IMEI) ja kellonajan perusteella, 
10 vaiineet (136) suorittaa ensimmaisen kertakayttOisen salasanan ja 

kayttajan tilaajakohtaisen tunnisteen koodaus, 

vaiineet (136, 338,340,300) lahettaa koodatut salasana ja tilaaja- 
kohtainen tunniste tietokonejarjestelman tunnistuspalvelimelle, 

ja etta tunnistuspalvelin (144) on sovitettu 
15 suorittamaan kayttajan tunnistus tilaajakohtaisen tunnisteen perus- 

teella ja etsimaan tietokannasta kayttajan henkilokohtainen tunnusluku ja 
kayttajaan liitetyn matkaviestimen laitekohtainen tunniste (IMEI), 

muodostamaan toinen kertakayttoinen salasana tunnistuspalveli- 
mella kayttaen ennalta maarattya algoritmia kayttajan henkilfikohtaisen tun- 
20 nusluvun, tilaajakohtaisen tunnisteen, matkaviestimen laitekohtaisen tunnis- 
teen ja kellonajan perusteella, 

vertaamaan ensimmaista salasanaa ja toista salasanaa keskenaan 
tunnistuspalvelimella. ja mikaii salasanat vastaavat, mahdollistamaan tietolii- 
kenneyhteys kayttajan matkaviestimen (100) ja tietokonejarjestelman (102) 
25 valilia. 

11, Patenttivaatimuksen 10 mukainen jarjestely, tunnettu siita, 
etta matkaviestin (100) on sovitettu tahdistamaan matkaviestimen ajastus tun- 
nistuspalvelimen (144) ajastuksen kanssa ennen tunnistusproseduurin kayn- 
nistysta. 

30 12. Patenttivaatimuksen 10 mukainen jarjestely, tunnettu siita, 

etta matkaviestin (100) on sovitettu suorittamaan kayttajan tunnistus auto- 
maattisesti kayttajan kaynnistaessa tietokonejarjestelmaa (102) hyodyntavan 
sovelluksen matkaviestimessa. 

13. Patenttivaatimuksen 10 mukainen jarjestely, tunnettu siita, 

35 etta mikaii ensimmainen ja toinen salasana eivat vastaa, tunnistuspalvelin 



17 



(144) on sovitettu olemaan lahettamatta mitaan informaatiota matkaviestimelle 
(100). 

14. Patenttivaatimuksen 10 mukainen jarjestely, t u n n e 1 1 u siita, 
etta matkaviestin (100) on sovitettu lahettamaan tunnistuspalveiimelle viestin, 

5 joka kasittaa ainakin kentan, jonka sisaltona on SRES-arvo, seka kentan, jon- 
ka sisaltona on aika, seka kentan, jonka sisaltona on paatteen kansainvalinen 
puhelinnumero, seka kentan, jonka sisaltona on paatteen laitenumero. 

15. Patenttivaatimuksen 10 mukainen jarjestely, tunnettu siita, 
etta matkaviestin (100) ja tunnistuspalvelin (144) on sovitettu tunnistuksen ai- 

10 kana kayttamaan PPP/CHAP-protokollaa RADIUS-protokollan kanssa, ja etta 
paatelaite on sovitettu lahettamaan tunnistuspalveiimelle viestin, joka kasittaa 
ainakin kentan, jonka sisaltona on SRES-arvo, seka kentan, jonka sisaltona on 
kayttajatunnus jarjestelmaan seka kentan, jonka sisaltona on salasana, joka 
on generoitu laitetunnuksesta (IMEI), kayttajan tilaajakohtaisesta tunnisteesta, 

15 kayttajan henkiliikohtaisesta tunnusluvusta, ajasta, SRES-arvosta. 

16. Patenttivaatimuksen 10 mukainen jarjestely, tunnettu siita, 
etta matkaviestin (100) ja tunnistuspalvelin (144) on sovitettu tunnistuksen ai- 
kana kayttamaan PPP/PAP-protokollaa RADIUS-protokollan kanssa, ja etta 
matkaviestin (100) on sovitettu lahettamaan tunnistuspalveiimelle viestin, joka 

20 kasittaa ainakin kentan, jonka sisaltfina on salasana, joka on generoitu laite- 
tunnuksesta (IMEI), kayttajan tilaajakohtaisesta tunnisteesta, kayttajan henki- 
lokohtaisesta tunnusluvusta, ajasta, ja SRES-arvosta, seka kentan, jonka si- 
saltona on SRES-arvo, seka kentan, jonka sisaltona on kayttajatunnus jarjes- 
telmaan. 

25 17. Patenttivaatimuksen 15 tai 16 mukainen jarjestely, tunnettu 

siita, etta kayttajatunnus jarjestelmaan on kayttajan MSISDN. 

18. Jonkin edellisen patenttivaatimuksen 10-17 mukainen jarjes- 
tely, tunnettu siita, etta matkaviestin (100) on GPRS-jarjestelman matka- 
viestin. 

30 19. Jonkin edellisen patenttivaatimuksen 10-17 mukainen jarjes- 

tely, tunnettu siita, etta matkaviestin (100) kasittaa useamman kuin yhden 
tilaajakohtaisen tunnistusmoduulin (342), ja etta salaukseen tarvittavia tietoja 
on tallennettu useampaan kuin yhteen tunnistusmoduuliin. 
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(57) Tiivistelma 

Keksinnon kohteena on jarjestely ja rnenetelma kayttajan 
[uotettavaksi tunnistamiseksi tietokonejarjestelmassa 
(102). Menetelmassa kaytetaan yhteyslaitteena jarjestel- 
maan matkaviestinta (100). Menetelmassa generoidaan 
ensimmainen kertakayttoinen salasana matkaviestimessa 
ennalta tunnetun algoritmin avulla kayttajan tunnusluvun, 
tilaajakohtaisen tunnisteen, matkaviestimen laitekohtaisen 
tunnisteen (IMEI) ja kellonajan perusteella. Saatu salasa- 
na ja kayttajan tilaajakohtainen tunniste koodataan ja la- 
hetetaan tietokonejarjestelman (102) tunnistuspalvelimelle 
(144), jossa suoritetaan kayttajan tunnistus tilaajakohtai- 
sen tunnisteen perusteella, etsitaan tietokannasta kaytta- 
jan henkilokohtainen tunnusluku ja kayttajaan liitetyn mat- 
kaviestimen laitekohtainen tunniste, muodostetaan toinen 
salasana tunnistuspalvelimella kayttaen samaa maarattya 
algoritmia kayttajan henkilokohtaisen tunnusluvun, tilaaja- 
kohtaisen tunnisteen, matkaviestimen laitekohtaisen tun- 
nisteen ja kellonajan perusteella, verrataan ensimmaista 
ja toista salasanaa keskenaan tunnistuspalvelimella, ja 
mikaii salasanat vastaavat, mahdollistetaan tietoliiken- 
neyhteys matkaviestimen (100) ja tietokonejarjestelman 
(102) valilla. 

(Kuvio 1) 




o 

CO 




ISC 




2 






2; 
CD 




PS 


o 

CO 


s 

CN 
CO 


CO 



05 

Li_ 



o 




KAYTTAJA kAynnistaa 
UE.N 



200 



V 



KAYTTAJA syottAA 
SALAUS-PIN:N 



.202 



kayttaja kaynnistaa 
tietokonejArjestelmAA 
tarv its evan sovelluksen 



•204 



UE GENEROI 
KERTAKAYTTOISEN 
SALASANAN 



V 



206 



ue lahettaa pyynnon 
jArjestelmAlle 



208 



V 



JARJESTELMA 
TARKISTAA KAYTTAjAN 



210 




212 



Fig. 2a 



3 



3^ 
KISS: 

fit 





TAHDISTA KELLO 
JARJESTELMAN 
KELLON KANSSA 



I 



LUE T1LAAJATUNNUS 
USIM-KORTILTA 



LUE LAITETUNNUS 

I 

LUE PIN MUISTISTA 



LASKE SALASANA 
ALGORITMIN 
AVULLA 



Fig. 2b 



220 




222 




224 



226 




228 




